安全，是企业IT系统最为重要的价值所在。在安全事件频发的今天，越来越多的CIO开始将IT系统考量的重点，从单纯的性能转向系统安全性的保障。然而，许多企业在考虑安全问题的同时，更多地关注系统级别的安全，而对于设备层面的安全则有所忽视——尤其是作为企业IT系统核心的服务器安全。这就好比用最优秀的建筑蓝图和最完备的工艺建造的城墙，如果用的是脆弱的土坯砖，在敌军的面前还是会不堪一击。

CIO作为“城墙”建造的总工程师，高硬度的服务器“砖石”，对IT系统的重要性可见一斑。在目前的IT产业中，已经有非常丰富和成熟的建造工艺和蓝图，在保障系统安全、数据安全方面，从杀毒软件到操作系统的加固软件，通过在服务器的外围构建安全防护体系，安全漏洞补丁、可不断更新的病毒库、木马专杀工具、权限控制、数据包过滤……一道道布局缜密的防护措施层出不穷。但事实上，这种看似固若金汤的城墙，只需要几个工兵挖开脆弱的土坯砖就会形同虚设。在IT产业中，通过服务器的安全漏洞窃取所有数据的风险层出不穷，也充分说明了为城墙选择最为兼顾的建造材质——即构建服务器自身特性的安全，才是安全保障的根本。

一个例子是在服务器厂商实现的诸多管理特性中，必须提供各种各样的远程管理特性，这种特性可以通过网络任意点接入服务器管理网络，极大的方便了运维人员的操作便捷性。但在进行远程管理时，操作者所发送的命令存在被篡改的可能，而在登陆时输入的用户、密码等重要信息，更有可能被拦截泄露。

而要想解决这样的问题，服务器所提供的特性功能就必须保证以及有能力识别一切操作是否是基于安全条件下的操作，只有符合这样的条件才允许终端用户的操作。但是，如何让服务器具备这样的能力，则需要服务器具备完善的安全规范和标准的动作，才能将动作、流程中存在的安全风险降到最低。

在信息安全领域，人们常常依据CIA三要素评估某个产品是否具备安全属性： Confidentiality 机密性——私密的数据不能透露给非授权的个体;Integrity 完整性——信息和程序只能按照指定且授权的方式进行修改，不能受到故意或无意的非授权操纵;Availability 可用性——系统必须及时服务，不能拒绝向授权用户提供服务。只有能够解决这些问题的服务器，才能真正为企业带来可保障的安全。

而真正安全的服务器产品，则会在“CIA”的基础上进一步延伸，为用户提供安全方面的查遗补漏。以主流品牌中市场认可度增长最快的华为服务器为例，其不仅在“CIA”特性上有完备的设计，同时还增加了抗攻击性和可追溯性两大安全设计。

可追溯性让华为服务器具备了追溯所考虑对象的历史、应用情况或所处场所的能力，而抗攻击性则能让华为服务器具备预防和对抗恶意网络攻击，保证保护对象不受恶意攻击影响的能力。而这两点在当今频发的安全事件中，都是最为关键的要素之一。在五大要素方面同时提供保障，服务器产品才能够真正保障业务连续性，又有健壮的网络承载能力，且能保护数据隐私安全。

而除了五大要素之外，服务器还需要生产和设计层面的总体安全作为保障。名副其实的安全服务器，会更侧重于总体安全策略的设计，而非简单的安全属性的叠加。在从设计、制造乃至物流的每一个环节，都不为恶意入侵者留下任何可乘之机。

仍是以在安全性方面得到客户广泛认可的华为服务器为例，作为中国首家可信计算厂商，华为提供的服务器产品搭载了自主研发的管理芯片、RAID控制芯片和未来网络芯片，通过了多项严格的国家标准认证，从最基本的层级保证了服务器的整体安全。

华为还依据20多年以来根据众多客户的安全要求，总结出了几十种安全原则、安全规范和安全红线，在设计和编码中严格遵从这些规范，并通过端到端的检查和制衡，分层的独立安全验证，实现了尽可能快又安全的新产品发布。华为的这种做法，无异于将安全基因注入到其每一款产品中。

服务器是一个庞大而复杂的系统，也是一个开放的平台，很难避免使用第三方部件或开源软件，由于这些模块信息更透明，所以也更容易成为攻击者下手的目标。而如何保障这些软件或模块的安全和可靠，在信息安全领域一直是巨大的挑战。

对于这一挑战，服务器厂商需要主动出击，提前发现“城墙”上可能出现的细小裂缝，以更为安全的研发策略应对风险挑战。以华为为例，其整个产品体系都建立了第三方和开源代码的集中资源库，并将它嵌入到了IPD 流程(华为产品研发、设计的保障流程)中，所以在产品开发过程中，华为服务器产品能够随时获取其他产品的经验数据，可以提前预知漏洞和可能存在的安全风险——无论其是否出现在客户、供应商还是华为自己的产品层面，华为各产品线都能针对这些风险漏洞进行评估，并快速同步给其他产品进行解决或规避。

　　(通过流程保证研发过程和产品的完整性、一致性和可追溯性)

再为坚固的砖石，在被砌上城墙之前，也有可能因为保管和运输不善，甚至是细作的有意破坏，而使得整座城墙的坚固程度打折。对于服务器而言，在承载的用户业务上线之前，物流管理同样也是重要的、有潜在安全风险的领域。

而华为服务器在这方面同样拥有过人能力。在业内，华为的IPD流程曾被众多企业推崇，IPD流程本身就融入了华为的安全保障标准，包括研发安全、安全验证、服务交付安全，到安全问题沟通与解决、供应链安全、采购安全、可追溯等。

在服务器产品在进入客户机房领地之前，华为要求必须做到端到端的安全保障。在保障客户业务上线后，仍然会提供解决安全问题的服务。华为服务器将安全管理规范嵌入到华为的每一个流程中，根据所有可获得的知识和信息，华为还建立并实施了流程基线，以确保它被充分审计。同质量一样，华为已经把安全置于公司的商业利益之上。

　　(确保产品被安全高效地交付给客户)

只有最为坚固的城墙，才能挡得住百万大军的侵袭。而只有从材料、工艺和运输方面全面保障的砖石，才能成为最为坚固的城墙的基础。在企业的安全策略中，选择具备安全保障的服务器是重中之重，而只有像华为这样具备从安全策略、底层安全到物流安全在内全方位安全设计的服务器厂商，才能为CIO的“百年名城”烧出最好的砖石。